SOC

Обзор

SOC-SizedLogo

Отчеты System and Organization Control (SOC) для AWS представляют собой отчеты независимых сторонних экспертов, в которых показано, как AWS реализует ключевые механизмы управления и решает задачи соответствия требованиям. Цель данных отчетов – дать вам и вашим аудиторам представление о механизмах управления AWS, предназначенных для поддержки эксплуатации и обеспечения соответствия требованиям. Существует пять типов отчетов AWS SOC.

  • Отчет AWS SOC 1 доступен клиентам AWS посредством AWS Artifact.
  • Отчет о безопасности, доступности и конфиденциальности AWS SOC 2 доступен клиентам AWS посредством AWS Artifact.
  • Отчет о безопасности, доступности и конфиденциальности AWS SOC 2 доступен клиентам AWS посредством AWS Artifact (область действия включает только Amazon DocumentDB).
  • Отчет о конфиденциальности AWS SOC 2 типа I доступен клиентам AWS посредством AWS Artifact.
  • Отчет о безопасности, доступности и конфиденциальности AWS SOC 3 находится в открытом доступе в форме технического описания.
  • Какую информацию содержат отчеты AWS SOC?

      SOC 1 SOC 2: безопасность, доступность и конфиденциальность
    SOC 2: конфиденциальность 
    SOC 3: безопасность, доступность и конфиденциальность
    Что представляет собой данный отчет? Описание среды средств контроля AWS и внешний аудит определенных средств контроля AWS и выполняемых задач Описание среды управления AWS и внешний аудит средств контроля AWS, которые соответствуют критериям и принципам безопасности, доступности и конфиденциальности AICPA Trust Services Описание среды средств контроля и внешнего аудита средств контроля AWS, которые соответствуют принципам и критериям безопасности AICPA Trust Services Публичный отчет, подтверждающий, что AWS соответствует критериям и принципам безопасности, доступности и конфиденциальности AICPA Trust Services
    В соответствии с каким стандартом составляется отчет об аудиторской проверке? SSAE 18, Attestation Standards: Clarification and Recodification (AICPA, Professional Standards), который включает в себя раздел 320 AT-C «Отчетность по проверке в сервисной организации средств управления, относящихся ко внутреннему контролю организации пользователя за финансовой отчетностью». Рекомендации AICPA для сервисных организаций: «Отчетность по проверке в сервисной организации средств управления, относящихся ко внутреннему контролю организации пользователя за финансовой отчетностью» (SOC 1®) SSAE 18, Attestation Standards: Clarification and Recodification, который включает раздел 105 AT-C, «Общие принципы всех процедур аттестации» и раздел 205 AT-C, «Руководство AICPA по процедурам проверки», «Отчетность сервисной организации о средствах управления, связанных с безопасностью, доступностью, целостностью данных при обработке, конфиденциальностью и защитой личных данных» (SOC 2®) TSP, раздел 2017 «Критерии обеспечения уверенности в безопасности, доступности, целостности данных при обработке, конфиденциальности и защиты личных данных» (AICPA, 2017 Trust Services Criteria) То же, что и SOC 2: безопасность, доступность и конфиденциальность SSAE 18, Attestation Standards: Clarification and Recodification, который включает раздел 105 AT-C, «Общие принципы всех процедур аттестации» и раздел 205 AT-C, «Процедуры проверки», TSP, раздел 2017 «Критерии обеспечения уверенности в безопасности, доступности, целостности данных при обработке, конфиденциальности и защиты личных данных» (AICPA, 2017 Trust Services Criteria)
    Какова основная цель отчета?

    Предоставить клиентам информацию о среде управления AWS, которая может быть связана с их внутренним средствам управления финансовой отчетностью

    Предоставить клиентам и их аудиторам информацию для проверки и оценки эффективности внутренних средств управления финансовой отчетностью (ICOFR)

    Предоставить клиентам и пользователям с коммерческими потребностями независимую оценку среды управления AWS в отношении безопасности, доступности и конфиденциальности системы

    Предоставить клиентам независимую оценку систем AWS и применимость существующей архитектуры AWS для управления конфиденциальностью.

    Принцип конфиденциальности SOC 2, разработанный Американским институтом дипломированных публичных бухгалтеров (AICPA), устанавливает критерии для оценки средств управления, относящихся к сбору, использованию, хранению, раскрытию и уничтожению конфиденциальной информации для выполнения задач организации.

    Предоставить клиентам и пользователям с коммерческими потребностями независимую оценку среды управления AWS с точки зрения безопасности, доступности и конфиденциальности, не разглашая внутреннюю информацию AWS
    Для кого в первую очередь предназначен отчет? Управляющие органы клиентов и аудиторы Пользователи с коммерческими запросами Пользователи, имеющие коммерческую потребность понимать средства управления AWS, имеющие отношение к конфиденциальности Находится в открытом доступе и доступен здесь.
    Какой период охватывает отчет?

    6 месяцев:

    с 01.10 по 31.03 и с 01.04 по 30.09

    6 месяцев:

    с 01.10 по 31.03 и с 01.04 по 30.09

     

    По состоянию на 31.10.2018

    6 месяцев:

    с 01.10 по 31.03 и с 01.04 по 30.09

    SOC 2: безопасность, доступность и конфиденциальность
  • Какие сервисы AWS включены в отчет SOC?

    Список сервисов AWS, на которые распространяется действие отчетов SOC, можно найти на странице Сервисы AWS в программе соответствия требованиям. Чтобы подробнее узнать об использовании этих сервисов и/или задать вопросы о других сервисах, свяжитесь с нами.

  • Какие регионы входят в отчет AWS SOC?

    Полный список регионов, охваченных программой, приведен в отчете AWS SOC 3

  • Кто проводит независимый аудит AWS для составления отчетов SOC?

    Аудиты AWS SOC 1, SOC 2 и SOC 3 проводит компания Ernst & Young LLP.

  • С какой периодичностью выпускаются отчеты AWS SOC? Когда будет выпущен следующий отчет?

    Отчеты SOC 1, SOC 2 и SOC 3 выпускаются AWS дважды в год и покрывают шестимесячные периоды (1 октября – 31 марта и 1 апреля –30 сентября). Новые отчеты выпускаются в середине мая и середине ноября.

  • Доступен ли отчет ISAE 3402?

    Аудит AWS SOC 1 проводится в соответствии с Международными стандартами подтверждения достоверности информации №3402 (ISAE 3402). Клиенты, которым требуется отчет ISAE 3402, должны запросить отчет AWS SOC 1 Type II с помощью AWS Artifact – портала самообслуживания, который предоставляет доступ по запросу к отчетам AWS по соответствию нормативным требованиям. Войдите в раздел AWS Artifact в Консоли управления AWS или см. подробности на странице Начало работы с AWS Artifact.

  • Нужно ли заключать соглашение о неразглашении (NDA), чтобы получить отчеты AWS SOC?

    Для просмотра отчетов AWS SOC 1 и SOC 2 необходимо заключить соглашение о неразглашении (NDA). Отчет AWS SOC 3 представляет собой краткий обзор отчета AWS SOC 2, находящийся в открытом доступе. В отчете AWS SOC 3 изложено, что по результатам отчета SOC 2 платформа AWS отвечает принципам надежности сервисов AICPA. В отчет также включено заключение внешнего аудитора о работе средств управления и контроля. С последним отчетом AWS SOC 3 можно ознакомиться на сайте AWS.

  • Как можно запросить отчет AWS SOC 1 или SOC 2?

    Отчеты AWS SOC 1 и SOC 2 можно получить с помощью AWS Artifact, портала самообслуживания для доступа по требованию к отчетам по вопросам соответствия AWS требованиям. Войдите в раздел AWS Artifact в Консоли управления AWS или см. подробности на странице Начало работы с AWS Artifact.

  • Где можно получить отчет AWS SOC 3?

    Последняя версия отчета AWS SOC 3 находится в открытом доступе на веб‑сайте AWS.

  • Почему для Amazon DocumentDB (с поддержкой совместимости с MongoDB) существует отдельный отчет SOC 2?

    Amazon DocumentDB включается в отдельный отчет SOC 2, поскольку эта система была выпущена позднее обычного отчета SOC 2 (ноябрь 2018 г.). Мы намерены включить Amazon DocumentDB в обычные отчеты SOC 1 и 2 при последующих обновлениях. Следующий отчет будет выпущен в середине мая 2019 г.

Ресурсы по SOC

compliance-contactus-icon
Есть вопросы? Связаться с представителем AWS
Ищете работу в сфере соответствия требованиям?
Предложите свою кандидатуру прямо сегодня »
Хотите получать новости в сфере соответствия AWS требованиям?
Следить за новостями в Twitter »